Aktivieren von Passkeys (FIDO2) für Ihre Organisation

Passkeys (FIDO2) bieten Unternehmen, die aktuell Passwörter verwenden, eine nahtlose Möglichkeit für Mitarbeitende, sich ohne Eingabe eines Benutzernamens oder Passworts zu authentifizieren. Passkeys (FIDO2) ermöglichen den Mitarbeitenden eine bessere Produktivität und bieten eine höhere Sicherheit.

In diesem Artikel sind die Anforderungen und Schritte zum Aktivieren von Passkeys in Ihrer Organisation aufgeführt. Nachdem Sie diese Schritte ausgeführt haben, können Benutzer in Ihrer Organisation sich dann mit einem Passkey registrieren und bei ihrem Microsoft Entra-Konto anmelden, das auf einem FIDO2-Sicherheitsschlüssel oder in Microsoft Authenticator gespeichert ist.

Weitere Informationen zum Aktivieren von Passkeys in Microsoft Authenticator finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.

Weitere Informationen zur Passkey-Authentifizierung finden Sie unter Unterstützung für die FIDO2-Authentifizierung mit Microsoft Entra ID.

Hinweis

Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.

Anforderungen

• Benutzer müssen die mehrstufige Authentifizierung (MultiFactor Authentication, MFA) innerhalb der letzten fünf Minuten abschließen, bevor sie einen Passkey (FIDO2) registrieren können.
• Benutzer benötigen einen FIDO2-Sicherheitsschlüssel, der für den Nachweis mit microsoft Entra ID oder Microsoft Authenticator berechtigt ist.
• Geräte müssen die PASSKEY-Authentifizierung (FIDO2) unterstützen. Für Windows-Geräte, die in Microsoft Entra ID eingebunden sind, eignet sich besonders Windows 10 Version 1903 oder höher. Auf hybrid eingebundenen Geräten muss Windows 10 Version 2004 oder höher ausgeführt werden.

Passkeys (FIDO2) werden in wichtigen Szenarien unter Windows, macOS, Android und iOS unterstützt. Weitere Informationen zu unterstützten Szenarien finden Sie unter Unterstützung für die FIDO2-Authentifizierung in Microsoft Entra ID.

Hinweis

Unterstützung für die Registrierung auf demselben Gerät in Edge unter Android wird in Kürze verfügbar sein.

Passkey (FIDO2)-AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID)

Gemäß FIDO2-Spezifikation muss jeder Sicherheitsschlüsselanbieter während der Registrierung eine AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) bereitstellen. Die AAGUID ist eine 128-Bit-ID, die den Schlüsseltyp angibt (z. B. Hersteller und Modell). Passkey (FIDO2)-Anbieter auf Desktop- und Mobilgeräten müssen ebenfalls während der Registrierung eine AAGUID angeben.

Hinweis

Der Anbieter muss sicherstellen, dass die AAGUID für alle ähnlichen Sicherheitsschlüssel oder Passkey (FIDO2)-Anbieter dieses Anbieters identisch ist und sich gleichzeitig (mit hoher Wahrscheinlichkeit) von den AAGUIDs aller anderen Schlüsseltypen und Passkey (FIDO2)-Anbieter unterscheidet. Um dies sicherzustellen, sollte die AAGUID für einen bestimmten Sicherheitsschlüsseltyp oder Passkey (FIDO2)-Anbieter nach dem Zufallsprinzip generiert werden. Weitere Informationen finden Sie unter Web Authentication: An API for accessing Public Key Credentials – Level 2 (Webauthentifizierung: Eine API für den Zugriff auf Anmeldedaten für öffentliche Schlüssel – Ebene 2 (w3.org)).

Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkeys (FIDO2) zu ermitteln, oder FIDO2-Sicherheitsschlüssel ansehen, die berechtigt sind, mit Microsoft Entra ID einen Nachweis zu erbringen. Wenn der Passkey (FIDO2) bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Passkey (FIDO2) für die Benutzer anzeigen.

Passkey-Authentifizierungsmethode (FIDO2) aktivieren

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

2. Navigieren Sie zu Schutz,>Authentifizierungsmethoden,>Richtlinien,.

3. Legen Sie unter der Methode Passkey (FIDO2) den Umschalter auf Aktivieren fest. Wählen Sie Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.

4. Auf der Registerkarte Konfigurieren:

   • Legen Sie Self-Service-Setup zulassen auf Ja fest. Wenn Nein festgelegt ist, können Benutzer einen Passkey nicht mithilfe von Sicherheitsinformationen registrieren, auch wenn Passkeys (FIDO2) von der Richtlinie für Authentifizierungsmethoden aktiviert sind.

   • Nachweis durchsetzen sollte auf Ja festgelegt werden, wenn Ihre Organisation sicherstellen möchte, dass ein FIDO2-Sicherheitsschlüsselmodell oder Passkey-Anbieter echt ist und von einem legitimen Anbieter stammt.

     • Bei FIDO2-Sicherheitsschlüssel verlangen wir, dass Sicherheitsschlüsselmetadaten mit FIDO Alliance Metadata Service veröffentlicht und überprüft werden, und sie müssen auch den zusätzlichen Validierungstest von Microsoft bestehen. Weitere Informationen finden Sie unter Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden.
     • Passkeys in Microsoft Authenticator unterstützen auch den Nachweis. Weitere Informationen finden Sie unter Wie der Passwortnachweis mit Authenticator funktioniert.

     Warnung

     Die Erzwingung des Nachweises bestimmt, ob ein Passkey (FIDO2) nur während der Registrierung zulässig ist. Benutzer, die einen Passkey (FIDO2) ohne Attestierung registrieren, werden bei der Anmeldung nicht blockiert, wenn Attestierung erzwingen später auf Ja festgelegt wird.

   Schlüsseleinschränkungsrichtlinie

   • Schlüsseleinschränkungen erzwingen sollte nur auf Ja festgelegt werden, wenn Ihre Organisation nur bestimmte Sicherheitsschlüsselmodelle oder Passkey-Anbieter zulassen oder nicht zulassen möchte, die durch ihre AAGUID identifiziert werden. Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkey zu bestimmen. Wenn der Passkey bereits registriert ist, ermitteln Sie die AAGUID, indem Sie die Details zur Authentifizierungsmethode des Passkeys für den Benutzer anzeigen.

   Warnung

   Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter Modelle oder Anbieter sowohl für die Registrierung als auch für die Authentifizierung fest. Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.

   

5. Wählen Sie nach Abschluss der Konfiguration Speichern aus.

   Hinweis

   Wenn beim Speichern ein Fehler angezeigt wird, ersetzen Sie mehrere Gruppen durch eine einzelne Gruppe in einem Vorgang, und klicken Sie dann erneut auf Speichern.

Bereitstellen von FIDO2-Sicherheitsschlüsseln mithilfe der Microsoft Graph-API (Vorschau)

Momentan können Administratoren Microsoft Graph und benutzerdefinierte Clients verwenden, um FIDO2-Sicherheitsschlüssel im Namen von Benutzern bereitzustellen. Die Bereitstellung erfordert die Rolle Authentifizierungsadministrator oder eine Clientanwendung mit der Berechtigung UserAuthenticationMethod.ReadWrite.All. Zu den Verbesserungen bei der Bereitstellung gehören:

• Die Möglichkeit, WebAuthn Erstellungsoptionen von Microsoft Entra ID abzufragen
• Die Möglichkeit, den bereitgestellten Sicherheitsschlüssel direkt bei Microsoft Entra ID zu registrieren

Mit diesen neuen APIs können Organisationen ihre eigenen Clients erstellen, um Passkey (FIDO2)-Anmeldeinformationen auf Sicherheitsschlüsseln im Namen eines Benutzenden bereitzustellen. Um diesen Prozess zu vereinfachen, sind drei Hauptschritte erforderlich.

1. Anfordern von creationOptions für einen Benutzer: Microsoft Entra ID gibt die notwendigen Daten für Ihren Client zurück, um Passkey (FIDO2)-Anmeldeinformationen bereitzustellen. Dazu gehören Informationen wie Benutzerinformationen, die ID der vertrauenden Instanz, Anforderungen an die Berechtigungsrichtlinien, Algorithmen, Registrierungsanforderungen und vieles mehr.
2. Bereitstellen der Passkey (FIDO2)-Anmeldeinformationen mit den Erstellungsoptionen: Verwenden Sie die creationOptions und einen Client, der das Client to Authenticator Protocol (CTAP) unterstützt, um die Anmeldeinformationen bereitzustellen. In diesem Schritt müssen Sie den Sicherheitsschlüssel einfügen und eine PIN festlegen.
3. Registrieren Sie die bereitgestellten Anmeldeinformationen bei Microsoft Entra ID: Verwenden Sie die formatierte Ausgabe aus dem Bereitstellungsprozess, um Microsoft Entra ID die erforderlichen Daten bereitzustellen. Registrieren Sie dabei die Zugangsdaten für den Sicherheitsschlüssel (FIDO2) des Zielbenutzers.

Aktivieren von Passkeys (FIDO2) mithilfe der Microsoft Graph-API

Sie können die Passkeys (FIDO2) nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe der Microsoft Graph-API aktivieren. Zum Aktivieren von Passkeys (FIDO2) müssen Sie die Richtlinie für Authentifizierungsmethoden mindestens als Authentifizierungsrichtlinienadministrator aktualisieren.

So konfigurieren Sie die Richtlinie mithilfe des Graph Explorer:

1. Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.

2. Rufen Sie die Authentifizierungsmethodenrichtlinie ab:

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Um die Erzwingung von Nachweisen zu deaktivieren und Schlüsseleinschränkungen zu erzwingen, um beispielsweise nur die AAGUID für RSA DS100 zuzulassen, führen Sie einen PATCH-Vorgang mit dem folgenden Anforderungstext aus:

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Löschen eines Passkeys (FIDO2)

Um einen Passkey (FIDO2) zu entfernen, der einem Benutzerkonto zugeordnet ist, löschen Sie ihn aus den Authentifizierungsmethoden des Benutzers bzw. der Benutzerin.

1. Melden Sie sich beim Microsoft Entra Admin Center an, und suchen Sie nach dem Benutzer, dessen Passkey (FIDO2) entfernt werden muss.
2. Wählen Sie Authentifizierungsmethoden> aus, klicken Sie mit der rechten Maustaste auf Passkey (gerätegebunden) und wählen Sie Löschen aus.

Durchsetzen der Passkey (FIDO2)-Anmeldung

Wie folgt können Sie durchsetzen, dass sich Benutzer mit einem Passkey (FIDO2) anmelden, wenn sie auf eine sensible Ressource zugreifen:

• Verwenden Sie eine integrierte, phishingresistente Authentifizierungsstärke

  oder

• Erstellen einer benutzerdefinierten Authentifizierungsstärke

Die folgenden Schritte zeigen, wie Sie eine benutzerdefinierte Authentifizierungsstärke erstellen. Es handelt sich um eine Richtlinie für den bedingten Zugriff, die die Anmeldung mit Passkeys (FIDO2) nur für ein bestimmtes Sicherheitsgerätemodell oder einen bestimmten Passkey (FIDO2)-Anbieter ermöglicht. Eine Liste der FIDO2-Anbieter finden Sie unter FIDO2-Sicherheitsschlüssel, die für den Nachweis mit Microsoft Entra ID berechtigt sind.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.
3. Wählen Sie Neue Authentifizierungsstärke aus.
4. Geben Sie einen Namen für Ihre neue Authentifizierungsstärke an.
5. Erstellen Sie optional eine Beschreibung.
6. Wählen Sie Passkeys (FIDO2) aus.
7. Wenn Sie einen bestimmten AAGUID einschränken möchten, wählen Sie optional Erweiterte Optionen>AAGUID hinzufügen aus. Geben Sie den AAGUID ein, und wählen Sie Speichern aus.
8. Wählen Sie Weiter aus, und überprüfen Sie die Richtlinienkonfiguration.

Bekannte Probleme

Bereitstellung von Sicherheitsschlüsseln

Die Administratorbereitstellung von Sicherheitsschlüsseln befindet sich in der Vorschauphase. Weitere Informationen finden Sie unter Microsoft Graph und benutzerdefinierte Clients zum Bereitstellen von FIDO2-Sicherheitsschlüsseln im Namen von Benutzern.

B2B-Zusammenarbeitsbenutzer

Die Registrierung von Passkey (FIDO2)-Anmeldedaten wird für B2B-Kollaborationsbenutzer im Ressourcenmandanten nicht unterstützt.

UPN-Änderungen

Wenn sich der UPN eines Benutzers ändert, können Sie die Passkeys (FIDO2) nicht mehr ändern, um die Änderung zu berücksichtigen. Wenn der Benutzer oder die Benutzerin über einen Passkey (FIDO2) verfügt, muss er bzw. sie sich bei Sicherheitsinformationen anmelden, den alten Passkey (FIDO2) löschen und den neuen hinzufügen.

Nächste Schritte

Native App- und Browserunterstützung der kennwortlosen Authentifizierung per Passkey (FIDO2)

Anmelden mit FIDO2-Sicherheitsschlüsseln bei Windows 10-Geräten

Aktivieren der FIDO2-Authentifizierung für lokale Ressourcen

Registrieren von Sicherheitsschlüsseln im Namen von Benutzern

Erfahren Sie mehr über die Geräteregistrierung

Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra